[PLUTO-security] iptabels - piccolo chiarimento
Andrea Dinale
andrea at dinale.it
Wed Jun 11 11:30:43 CEST 2003
Voglio controllare il taffico non legittimo generato da un mio server.
Dunque ho pensato di creare una nuova catena, ci butto dentro tutto
quello che è legittimo; e loggo tutti quello che *NON* è in quella
catena.
Concettualmente è giusto questo modo di operare?
Ho buttato giù due righe, ma non riesco ad ottenere mil risultato
voluto, cioè mi logga tutto anche quello che considero legittimo.
-------------------------------------------------------------------------------------------------
SERVER=<ipserver>
IPTABLES="/sbin/iptables"
BROADCAST="192.168.0.255"
WBSREMOTO=<ip_server_remoto>
RMTPORT=<porta_remota>
# creo la catena nolog, dove far confluire tutto il traffico legittimo
# proveniente da $SERVER, e loggo il resto
$IPTABLES -N nolog
# Considero legittimo il traffico DNS, e faccio jump su catena nolog
$IPTABLES -A FORWARD -s $SERVER -p tcp --dport 53 -j nolog
$IPTABLES -A FORWARD -s $SERVER -p udp --dport 53 -j nolog
# Considero legittimo il traffico SMB broadcast, e faccio jump su
# catena nolog
$IPTABLES -A INPUT -s $SERVER -d $BROADCAST -p udp --dport 137 -j nolog
$IPTABLES -A INPUT -s $SERVER -d $BROADCAST -p udp --dport 138 -j nolog
$IPTABLES -A INPUT -s $SERVER -d $BROADCAST -p udp --dport 139 -j nolog
# Considero legittimo il traffico con WBSREMOTO su porta RMTPORT, e
# faccio un jump alla catena nolog
$IPTABLES -A FORWARD -s $SERVER -d $WBSREMOTO -p tcp --dport $RMTPORT -j
nolog
# logga tutto quello che non è nella catena nolog
$IPTABLES -A FORWARD -s $SERVER -j LOG
$IPTABLES -A INPUT -s $SERVER -j LOG
-------------------------------------------------------------------------------------------------
Però, come detto sopra, mi logga anche quello che non dovrebbe essere
loggato.
Immagino di perdermi in un bicchiere d'acqua, ma ho tanto sonno :-)
TIA
Andrea
More information about the pluto-security
mailing list